O Regulamento tem aplicabilidade geral a partir de 2 de agosto de 2026.

Todavia, os Capítulos I (Disposições Gerais) e II (Práticas Proibidas) aplicam-se a partir de 2 de fevereiro de 2025¹.

No capítulo I inserem-se as obrigações relativas a literacia no domínio da IA, que se entende, nos termos do Regulamento, como as competências, os conhecimentos e a compreensão que permitem que os prestadores, os responsáveis pela implantação e as pessoas afetadas, tendo em conta os respetivos direitos e obrigações no contexto do presente regulamento, procedam à implantação dos sistemas de IA
com conhecimento de causa e tomem consciência das oportunidades e dos riscos inerentes à IA, bem como dos eventuais danos que a IA pode causar.

O Regulamento prevê, no artigo 3.º, os conceitos que são a base para a compreensão dos seus normativos.

¹ _{Os prazos de aplicação do regulamento regem-se pelo disposto no artigo 113.º do RIA.}

Para efeitos do RIA, um sistema de IA é um sistema baseado em máquinas concebido para funcionar com níveis de autonomia variáveis, e que pode apresentar capacidade de adaptação após a implantação e que, para objetivos explícitos ou implícitos, e com base nos dados de entrada que recebe, infere a forma de gerar resultados, tais como previsões, conteúdos, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais.

Por se aplicar desde 2 de fevereiro de 2025, destaca-se, aqui, o disposto no artigo 4.º do RIA: “Os prestadores e os responsáveis pela implantação de sistemas de IA adotam medidas para garantir, na medida do possível, que o seu pessoal e outras pessoas envolvidas na operação e utilização de sistemas de IA em seu nome dispõem de um nível suficiente de literacia no domínio da IA, tendo em conta os seus conhecimentos técnicos, experiência, qualificações académicas e formação e o contexto em que os sistemas de IA serão utilizados, bem como as pessoas ou grupos de pessoas visadas por essa utilização.”

Nos termos do RIA, entende-se por “prestador” uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que desenvolva, ou mande desenvolver, um sistema de IA ou um modelo de IA de finalidade geral e o coloque no mercado, ou coloque o sistema de IA em serviço sob o seu próprio nome ou a sua própria marca, a título oneroso ou gratuito.

Por sua vez, um “responsável pela implantação” é uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que utilize um sistema de IA sob a sua própria autoridade, salvo se o sistema de IA for utilizado no âmbito de uma atividade pessoal de caráter não profissional.

Os sistemas de IA são classificados de acordo com o risco, que consiste, nos termos do disposto na alínea 2 do artigo 3.º do RIA, na combinação da probabilidade de ocorrência de danos com a gravidade desses danos, e que pode ser, para efeitos do regulamento²:

• Inaceitável – práticas manipuladoras, exploratórias e de controlo social. Essas práticas são particularmente prejudiciais e abusivas e deverão ser proibidas por desrespeitarem valores da União, como a dignidade do ser humano, a liberdade, a igualdade, a democracia e o Estado de direito, bem como os direitos fundamentais consagrados na Carta, nomeadamente o direito à não discriminação, à proteção de dados pessoais e à privacidade, e os direitos das crianças (considerando 28 do RIA);
• Risco Elevado – sistemas que têm um impacto prejudicial substancial na saúde, na segurança e nos direitos fundamentais das pessoas na União (considerando 46 do RIA);
• Risco Limitado – sistemas com obrigações de transparência específicas;
• Risco Mínimo.

Consoante o nível de risco do sistema de IA, diferentes obrigações e exigências impendem sobre quem os utiliza, nomeadamente os estabelecimentos prestadores de cuidados de saúde.

² _{A classificação de quatro níveis pode ser consultada em https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai. As notas apostas relativamente a cada um dos quatro níveis têm como referência a informação provinda
desta fonte e, ainda, a informação constante do texto do RIA.}

A ERS foi indicada por Portugal à Comissão Europeia como uma das autoridades responsáveis pela proteção dos direitos fundamentais, nos termos do disposto no n.º 2 do artigo 77.º do RIA, juntamente com outras entidades, a saber:

• Autoridade de Segurança Alimentar e Económica (ASAE);
• Autoridade para as Condições do Trabalho (ACT);
• Autoridade Nacional de Comunicações (ANACOM);
• Entidade Reguladora dos Serviços Energéticos (ERSE).
• Entidade Reguladora para a Comunicação Social (ERC);
• Gabinete Nacional de Segurança (GNS);
• Inspeção-Geral da Administração Interna (IGAI);
• Inspeção-Geral da Defesa Nacional (IGDN);
• Inspeção-Geral da Educação e Ciência (IGEC);
• Inspeção-Geral das Finanças (IGF);
• Inspeção-Geral do Ministério do Trabalho, Solidariedade e Segurança Social (IGMTSSS);
• Inspeção-Geral dos Serviços de Justiça (IGSJ);
• Polícia Judiciária (PJ);

As autoridades responsáveis pela proteção dos direitos fundamentais têm, no que se refere à utilização de sistemas de risco elevado referidos no anexo III do RIA, poderes para solicitar e aceder a toda a documentação elaborada ou mantida nos termos do regulamento numa língua e formato acessíveis nos casos em que o acesso a essa documentação for necessário para o exercício dos seus mandatos dentro dos limites das respetivas jurisdições. De todo modo, devem informar a autoridade de fiscalização do mercado do Estado-Membro em causa de qualquer pedido dessa natureza.

Para além das obrigações que resultam do RIA, mantém-se, para os estabelecimentos prestadores de cuidados de saúde, a necessidade de observarem todos os seus deveres e cumprirem todas as suas obrigações, assim como de respeitarem, na sua atuação, todos os direitos e interesses legítimos dos utentes.

No âmbito da prossecução do seu objetivo de garantir os direitos e interesses legítimos dos utentes, a ERS prestará, neste âmbito, informação, orientação e apoio ao setor regulado.